ISO27001の内部監査の目的と業務手順・ポイントまとめ

ssl

ISO27001は外部への情報流出リスクを対策し、安全に情報を管理するための規定です。認証を受けると、顧客などの利害関係者に情報管理ができていることの証明になります。

このISO27001の規定を理解するには、まずISMSとはどんなものなのかを知っておくことが必要です。この記事では、ISO27001とISMSの違いをはじめ、ISO27001の内部監査の目的とポイント、具体的な内部監査の手順についてご紹介します。

ISO27001とISMSの違い

ISMSは、情報セキュリティにかかわるマネジメントシステムです。セキュリティというと、国内ではJISが発行しているPマーク (プライバシーマーク)がよく知られていて、情報にパスワードをかけるなどして情報の気密性を高める対応などがあります。

一方、国際規格であるISMSでは、「機密性」に加え、管理している情報が書き換えられたり削除されたりすること防ぐ「完全性」と、情報が必要な際すぐ使えるようにする「可用性」の3要素を維持することが要求事項になっています。

ISO27001は、ISMSで重要とされる3要素を確保するための具体的な管理方法を明らかにしています。規定には、ISMSの仕組みをどのように立ち上げ、維持し、継続的な改善を行うための要求事項のほか、情報セキュリティのリスクアセスメントやリスクへの対処方法が含まれています。

万が一情報が漏えいした場合、企業や顧客は大きな被害を受けるリスクがあります。そのため、業種や業態によらず、ISO27001認証を受けることは全ての企業に大きなメリットといえるでしょう。

ISO27001の内部監査の目的は?

ISO27001規格は、資産を脅威から守ることを目的としています。そのため、ISMSについてPDCAのサイクルを回していくことが重視されています。情報の漏えいや改ざんを防ぐには、システム的な防止策のほか社員の教育も欠かせません。

そのため、情報マネジメントシステムの詳細やリーダーが持つべき役割や責任など、情報セキュリティを推進していくための計画の立て方や運用方法をしっかり規定することが重要です。さらに、社員に求められる知識やコミュニケーション方法、マネジメントレビューや監査といった評価手法や業務の改善に関わる内容も盛り込んでいきましょう。

ISO27001の内部監査を行う際は、管理すると決めた各情報資産が確実に守られているか確認することが重要です。また、デバイスや通信手段の多様化など、新たに情報セキュリティを脅かす原因になる要素がないか確認するよい機会になるでしょう。さらに、社内のメンバーが情報セキュリティの目的を十分に理解してルールを守っているか、評価することも必要です。

ISO27001内部監査のポイント

ISO27001の内部監査でやるべきことは、適合性や有効性の確認に加え、改善点・問題点の顕在化です。

そこで、まずは情報セキュリティマネジメントシステムに必要な機密性、完全性、可用性がビジネスのプロセスやマネジメント構造に組み込まれているか確かめましょう。

体制がしっかりしていれば、それだけ業務に無駄がなくなり、組織を強化することにつながります。特に最近はISO27001の取得が取引条件となっている企業が増えてきているため、このような適合性の確認は大前提です。

また、社内的にも情報セキュリティに関するリスクを減らすためには、各リーダーの役割や権限を明確化し、それぞれの社員の力量が適切か判断する必要があります。

たとえば、いくら強固なファイアーウォールを設定して技術的な歯止めをかけていたとしても、社内のメンバーがパソコンを社外に持ち出せる状況であればほとんど効果がありません。

このような状況では有効性が高いとはいえず、社員の意識やモラルの向上が課題になります。

ISO27001内部監査の業務手順

ISO27001の内部監査は、品質管理責任者が作成した年間計画に準じて行われるのが一般的です。

準備段階では、最新の規定や顧客要求を整理して、チェックリストの更新と内部監査の計画書を作成します。特にデバイスや通信方法が新しいものが加わった場合は、それまでのチェックを継続してもセキュリティに穴が開いている可能性があります。

監査の際は、下記のようなポイントを評価していきます。

・適切に情報資産が管理・保護されているか文書や運用の確認
・新たに情報セキュリティを脅かす可能性がある要素はないか
・社内のメンバーが情報セキュリティの必要性を理解してルールを守っているか

その際、力量評価表の確認だけでなく、実際の担当者がどのように業務に当たっているか確認することも有効です。

もし監査内で課題となる内容が見つかれば、PDCAの考え方に基づきマネジメントレビューを行う必要があります。監査上不適合とした内容は、是正指示書を作成し、担当者など関連メンバーで対策を行った後、内部監査員で有効性の検証を行い、是正案件をクローズさせましょう。

まとめ

ISO27001は情報を安全に守るため、ISMSをどのような方法で実施すべきかを示した規定です。

内部監査を行う際は、情報管理のマネジメントシステムの核となる機密性、完全性、可用性がどの程度機能しているかなど、社内のメンバーの情報セキュリティ意識を確認しましょう。

また、各規定が業務上有効に働いているか調査することも必要です。不適合箇所を継続的に改善していくことで、企業の価値や国内外での競争力向上が期待できます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事